3.1 インターネット メールに識別名を使う English
X.509 証明書形式には、サブジェクト(認証対象)名と発行者名を記載するフィールドがあります。サブジェクト名は特定の公開鍵と秘密鍵の組み合わせの所有者を識別するのに対して、発行者名は、サブジェクトを「証明した」エンティティ(つまり、誰がそのサブジェクトの証明書に署名したのか)を識別することになっています。サブジェクト名と発行者名は、X.509 で識別名(Distinguished Names)として定義されています。
識別名は CCITT 規格 X.501 [X.501] で定義されています。識別名は 1 つまたはそれ以上の関連識別名にブレークされます。各関連識別名は 1 つまたはそれ以上の Attribute-Value (属性−値)表示から成っています。各 Attribute-Value 表示は、属性識別子とその対応値情報(CountryName=US のような)から成っています。識別名は X.500 ディレクトリ ツリー [X.500] の中のエンティティを識別することになっています。各関連識別名は、Attribute-Value 表示の集合で記述されるツリーの中のノードと考えることができます。識別名全体は、ツリーの中のノードの集合で、ツリーのルートから特定のエンティティを代表するエンド ノードまでパスを横断します。
ディレクトリの目的は、あらゆる場所であらゆる通信エンティティに一意の名前を付けるためのインフラストラクチャを提供することです。しかし、世界的な X.500 ディレクトリ インフラストラクチャの採用は期待していたよりも遅れています。その結果、S/MIME 環境における X.500 ディレクトリ サービス規定に対する要求はありません。そうした規定が S/MIME 用の鍵管理を促進するうえで大きな価値を持っていることはほぼ疑いないにもかかわらずです。
X.500 ディレクトリに準拠した識別名の使用はあまり普及していません。これとは対照的に、RFC 822 [RFC-822] に述べられているように、インターネット環境においては、メッセージの発信者と受信者を識別するのにインターネット メール アドレスがほぼ独占的に使われています。しかし、インターネット メール アドレスは、X.500 識別名と何の共通点もありません(おそらく、両方とも性質が階層的である点を除いては)。公開鍵を持つエンティティのインターネット メール アドレスを配置するために、何らかの方法が必要とされています。X.509 証明書形式は他の拘束力のあるメカニズムのために断念すべきだと言う人もいます。
その代り、S/MIMEが X.509 証明書と識別名メカニズムを維持し、名前情報をインターネット メール環境に適合するよう変更するというのです。
End-entity 証明書は、[RFC-822] で説明されているように、インターネット メール アドレスを含まなければなりません(MUST)。[RFC-822] のセクション 6.1 で説明されているように、アドレスは「addr-spec」としなければなりません。
受信エージェントは、subjectAltName フィールドの電子メール アドレスを認識しなければなりません(MUST)。受信エージェントは、識別名フィールドの電子メール アドレスを認識しなければなりません(MUST)。
送信エージェントは、メール メッセージの From ヘッダのアドレスを、署名者の証明書にあるインターネット メール アドレスと一致させる必要があります(SHOULD)。受信エージェントは、メール メッセージの From ヘッダのアドレスが署名者の証明書にあるインターネット メール アドレスと一致しているかをチェックしなければなりません(MUST)。アドレスが一致しなかった場合、メッセージは拒否されることになるので、受信エージェントは何らかの明示的な代替メッセージ処理を提供しなければなりません(MUST)。
受信エージェントは、次に挙げる証明書の識別名内の各名前属性のうち、ゼロ、1、またはそれ以上を解析できなければなりません(MUST)。
識別名の作成の際の既存の名前属性の包含、省略、配列のためのガイドラインは、対応する名前と公開鍵を証明する証明サービスの関連ポリシーによって決められると思われます。
CountryName
StateOrProvinceName
Locality
CommonName
Title
Organization
OrganizationalUnit
StreetAddress
PostalCode
PhoneNumber
EmailAddress
EmailAddress 以外のすべての属性は、X.520 [X.520] で説明されています。EmailAddress は、複数の属性値を持つことができる IA5String です。